cisco el jueves liberado actualizaciones de seguridad para una falla de seguridad de máxima gravedad que afecta al software Cisco AsyncOS para Cisco Secure Email Gateway y Cisco Secure Email and Web Manager, casi un mes después de que la compañía revelara que había sido explotado como un día cero por un actor de amenaza persistente avanzada (APT) del nexo con China con nombre en código UAT-9686.
La vulnerabilidad, rastreada como CVE-2025-20393 (Puntuación CVSS: 10.0), es una falla de ejecución remota de comandos que surge como resultado de una validación insuficiente de las solicitudes HTTP por parte de la función Spam Quarantine. La explotación exitosa del defecto podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.
Sin embargo, para que el ataque funcione, se deben cumplir tres condiciones:
- El dispositivo ejecuta una versión vulnerable del software Cisco AsyncOS
- El dispositivo está configurado con la función de cuarentena de spam.
- La función de cuarentena de spam está expuesta y se puede acceder a ella desde Internet.
El mes pasado, la importante empresa de equipos de redes reveló que encontró evidencia de que UAT-9686 explotaba la vulnerabilidad a fines de noviembre de 2025 para eliminar herramientas de túnel como ReverseSSH (también conocido como AquaTunnel) y Chisel, y una utilidad de limpieza de registros llamada AquaPurge.
Los ataques también se caracterizan por el despliegue de una puerta trasera ligera de Python denominada AquaShell que es capaz de recibir comandos codificados y ejecutarlos.
La vulnerabilidad ahora se ha solucionado en las siguientes versiones, además de eliminar los mecanismos de persistencia que se identificaron en esta campaña de ataque y se instalaron en los dispositivos:
Puerta de enlace de seguridad de correo electrónico de Cisco
- Versión 14.2 y anteriores del software Cisco AsyncOS (corregido en 15.0.5-016)
- Versión 15.0 del software Cisco AsyncOS (corregido en 15.0.5-016)
- Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-012)
- Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-016)
Administrador web y de correo electrónico seguro
- Versión 15.0 y anteriores del software Cisco AsyncOS (corregido en 15.0.2-007)
- Versión 15.5 del software Cisco AsyncOS (corregido en 15.5.4-007)
- Versión 16.0 del software Cisco AsyncOS (corregido en 16.0.4-010)
Además, Cisco también insta a los clientes a seguir pautas de refuerzo para evitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, monitorear el tráfico de registros web para detectar cualquier tráfico inesperado hacia/desde los dispositivos, deshabilitar HTTP para el portal de administrador principal, deshabilitar cualquier servicio de red que no sea necesario, imponer una forma sólida de autenticación de usuario final en los dispositivos (por ejemplo, SAML o LDAP) y cambiar la contraseña de administrador predeterminada a una variante más segura.
Fuente